Отсутствие бардака и удовлетворение требованиям PCI DSS - не гарантия, что банк и его клиенты абсолютно прозрачные и не работают в "серую".
Это не более чем стандарт безопасности. Касается он, цитата с вики, буквально:
Стандарт представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций.
Не путайте логику и тех. реализацию.
Приведу аналогию: вы работаете в WEB интерфейсе через SSL(по https протоколу с валидными сертификатами). Тем самым гарантируется, что ваш информационный обмен зашифрован(про фишинг не будем говорить). Только вот через этот сайт вы занимаетесь незаконным предпринимательством(тут уж сами придумайте).
Итого имеем защищенный безопасный канал, но используем его в незаконных целях.
То о чем вы пишите, регулируется другими органами.
А в чем претензии к WM у Германии - не готов сказать. Видимо как то связано с борьбой с пиратством и сильным лобби правообладателей. Не знаю, только предполагаю.
При этом, допускаю, что в целом платежная система WM безопасная и старается снять с себя возможные риски связанные с платежами от/к "мутных" юриков/физиков.